Jak CISO uciekają z pułapki centrum kosztów

Mimo że rola CISO (Chief Information Security Officer) staje się coraz bardziej skoncentrowana na biznesie, w wielu organizacjach nadal pokutuje przekonanie, że aby zapewnić bezpieczeństwo, należy przestać liczyć się z kosztami (a z takiego obrotu rzeczy nikt nigdy nie jest zadowolony). Oto jak doświadczeni CISO mogą to zmienić.

Jak CISO uciekają z pułapki centrum kosztów

Ludcap/ Getty Images

Badanie content-free-1-be77" target="_blank" class="link">"Global Digital Trust Insights" przeprowadzone przez PwC wykazało, że 69% organizacji spodziewa się zwiększenia wydatków na cyberbezpieczeństwo w 2022 roku; 26% z nich zwiększy swój budżet na bezpieczeństwo o co najmniej 10%.

Nawet w dobie głośnych ataków liczby takie jak te pomagają utrwalić ideę cyberbezpieczeństwa jako centrum kosztów. To z kolei może powodować, że CISO nie zgadzają się ze swoimi kolegami z kadry zarządzającej, przyczyniając się do ich frustracji i zdezorientowania co do wartości, jaką faktycznie firma zyskuje z inwestycji w bezpieczeństwo cybernetyczne.

Zobacz również:

  • Droga do minimalizacji ryzyka
  • Bezpieczeństwo w każdym elemencie IT – (nie)możliwy ideał CISO?
  • Jak CISO i CIO powinni dzielić się odpowiedzialnością za cyberbezpieczeństwo#

„Wielu liderów biznesowych jest obecnie chętnych do udziału w transformacji cybernetycznej, ale głęboko frustruje ich żargon informatyczny, którego nie rozumieją. Nie wiedzą, jakie są kluczowe zagrożenia dla ich firm, jak silna jest ich istniejąca obrona, ani jakie inwestycje są wymagane. Mają wrażenie, że przelewają pieniądze do nieszczelnego wiadra, ponieważ zespoły ds. bezpieczeństwa cybernetycznego mają trudności z przełożeniem wartości swoich inicjatyw na język biznesu, czyli pieniądze” - mówi Phil Zongo, dyrektor generalny Cyber Leadership Institute, organizacji szkoleniowej i członek grupy roboczej ds. nowych trendów w stowarzyszeniu zawodowym ISACA.

Czołowi CISO naprawili już tę wątpliwą reputację branży, nawet gdy ich własne budżety na bezpieczeństwo rosną. Jak im się to udało? Pokazali, że bezpieczeństwo jest nie tylko krytyczne dla sukcesu firmy, ale stanowi czynnik umożliwiający i dający przewagę konkurencyjną w takim samym stopniu, jak infrastruktura cyfrowa i zasoby danych, które chroni.

5 strategii, które mogą pomóc CISO przekonać innych do postrzegania bezpieczeństwa jako centrum wartości

Nie ma jednego sposobu, aby obalić przekonanie, że bezpieczeństwo jest jedynie niezbędnym kosztem, ale eksperci, z którymi rozmawialiśmy, zidentyfikowali pięć strategii, które mogą pomóc CISO przekonać innych do postrzegania bezpieczeństwa jako centrum wartości.

Zastanów się, jak twoje komunikaty wpływają na to, jak jesteś postrzegany.

Pamiętaj o biznesowe maksymie „Nie można zarządzać tym, czego się nie mierzy”. Jest to krok, który wymaga zastanowienia, aby określić, czy jako CISO jesteś postrzegany jako pełnoprawny partner wykonawczy pracujący nad kształtowaniem polityki i strategii, czy też bezpieczeństwo pozostaje tematem pobocznym i dodatkiem do tychże. CISO muszą przedstawić w kategoriach biznesowych, w jaki sposób patrzą w przyszłość, w jaki sposób są bardziej proaktywni, aby pokazać, że bezpieczeństwo jest ośrodkiem innowacji w takim samym stopniu, jak np. analityka cyfrowa.

Dbaj o sojuszników w biznesie.

Żaden poważny program transformacji nie odnosi sukcesu bez wsparcia kierownictwa, a cyberbezpieczeństwo nie jest inne. Zaangażuj interesariuszy z kluczowych działów na wczesnym etapie i wprowadź ich perspektywę do strategii. Jeśli kluczowi członkowie kierownictwa czują się zaangażowani od samego początku, prawdopodobnie poprą program transformacji cybernetycznej całym swoim ciężarem. Można to osiągnąć np. poprzez ustanowienie wielofunkcyjnego komitetu ds. ryzyka cybernetycznego, składającego się z wyższych rangą interesariuszy z działów ryzyka biznesowego, prawnego, technologicznego, rozwoju produktów, zaopatrzenia i finansów.

Jednakże niektórzy dyrektorzy ds. bezpieczeństwa cybernetycznego napotkają na wyzwania związane z możliwością pełnego zaangażowania biznesu. Wielu CISO nadal dostosowuje się do celów CIO i mapy drogowej IT. Te zaś są (a przynajmniej powinny być) zgodne z ogólną strategią biznesową. Mimo to, taka struktura raportowania pozbawia ochronę bezpośredniego dostępu do biznesu, a w konsekwencji do liderów funkcji biznesowych.

Potwierdzają to statystyki dotyczące struktur raportowania w organizacjach. Badanie „2021 Global Chief Information Security Officer Survey” przeprowadzone przez firmę Heidrick & Struggles wykazało, że 38% CISO podlega CIO, a tylko 11% bezpośrednio dyrektorowi generalnemu.

Akcentuj to, co pozytywne.

Szereg głośnych i brzemiennych w skutki incydentów cybernetycznych w ostatnich latach sprawił, że bezpieczeństwo cybernetyczne stało się głównym tematem zainteresowania zarządów. Zarządy zwracają również większą uwagę na bezpieczeństwo w miarę wzrostu liczby powiązanych przepisów i oczekiwań konsumentów w tej dziedzinie.

Ankieta przeprowadzona przez JWC Partners w 2021 wśród zarządów firm wykazała, że bezpieczeństwo znalazło się na trzecim miejscu na liście najważniejszych problemów zarządów, zaraz po strategii korporacyjnej i sukcesji CEO/przywództwa. Jednocześnie jednak wielu członków zarządów nie jest szczególnie przekonanych co do swojej wiedzy na ten temat.

Według corocznego badania dyrektorów firm przeprowadzonego przez PwC w 2021 r. , tylko 33% dyrektorów odpowiedziało, że „bardzo dobrze” rozumie słabe punkty cyberbezpieczeństwa swojej firmy, 53% stwierdziło, że tylko „trochę” rozumie te słabe punkty, a 13% określiło swoje zrozumienie jako "niezbyt dobre". (Zaledwie 1% przyznało, że w ogóle nie rozumie tych kwestii).

Tymczasem zwiększone zainteresowanie zarządów kwestią bezpieczeństwa cybernetycznego stanowi szansę dla CISO. Jednak „CISO powinni odejść od przestarzałej taktyki wykorzystywania strachu, niepewności i wątpliwości, a zamiast tego przekazać optymistyczne i podnoszące na duchu przesłanie o wpływie, jaki cyberbezpieczeństwo może mieć na biznes, a szerzej na klientów organizacji i jej kluczowych interesariuszy”, mówi Chris Hughes, współzałożyciel i CISO firmy Aquia, a także adiunkt w dziedzinie cyberbezpieczeństwa na Capitol Technology University i University of Maryland Global Campus. „Incydenty związane z bezpieczeństwem cybernetycznym mogą mieć negatywne konsekwencje finansowe, prawne i wizerunkowe” - dodaje Hughes. „Chociaż kluczowe jest, aby o tym pamiętać i przypominać o tym swoim kolegom z branży, ma to również negatywne konotacje. Zamiast tego należy skupić się na umożliwieniu bezpiecznego funkcjonowania firmy, maksymalizacji wartości dla klientów i interesariuszy, zapewnieniu ich zaufania i lojalności, a nawet wykorzystaniu silnej pozycji w zakresie bezpieczeństwa cybernetycznego do wyróżnienia się na rynku wśród innych firm. Pokaż, w jaki sposób unikanie incydentów związanych z bezpieczeństwem cybernetycznym może przyczynić się do rozwoju firmy”.

Określ wartość dostarczaną przez bezpieczeństwo

Szefowie ds. bezpieczeństwa, którzy uwolnili się od reputacji „bezpieczeństwa jako centrum kosztów”, pokazują wartość, jaką wnoszą do biznesu. „CISO, którzy zasługują na miejsce w C-suite, mówią o wspieraniu biznesu, mówią o tym, co zamierzają umożliwić” – mówi Fred Rica, dyrektor w dziale usług doradczych KPMG i krajowy lider ds. ryzyka cybernetycznego i wywiadu o zagrożeniach w firmie. Rica pozycjonuje bezpieczeństwo jako hamulce, które pozwalają firmom bezpiecznie poruszać się z dużą prędkością, a nie jako dźwignię awaryjną, która spowalnia – lub wyłącza – wszystko. W związku z tym, według niego, dyrektorzy ds. bezpieczeństwa powinni podkreślać, w jaki sposób bezpieczeństwo pozwala klientom na szybką i bezproblemową interakcję z firmą, wiedząc, że jeśli coś się pojawi, hamulce zapewnią im bezpieczeństwo. „CISO, robiąc to, wspierają biznes. A najlepsi z nich wiedzą, jak to wyrazić i wyrazić ilościowo” – dodaje.

Wyliczenie wartości bezpieczeństwa w realnej walucie jest wyzwaniem dla CISO. Można jednak i należy to zrobić. Przydać się może książka Douglasa W. Hubbarda “How to Measure Anything: Finding the Value of Intangibles in Business”. Współpracuj z działem finansowym w celu rozwijania umiejętności niezbędnych do wykonania tego zadania.

Spraw, aby bezpieczeństwo stało się wyróżnikiem

CISO, którzy łączą wszystkie te strategie, są w stanie pozycjonować bezpieczeństwo swojej organizacji jako wyróżnik konkurencyjny, który nie tylko wspiera sprawność firmy, ale jest wręcz niezbędny, aby firma mogła szybko reagować, mówi James Stanger, główny ewangelista technologii w CompTIA, stowarzyszeniu handlowym zajmującym się szkoleniami i certyfikacją. „Teraz CISO jest osobą, która została powołana do budowania fundamentów sukcesu organizacji” - mówi. „CISO jest bardziej strategiem. Tradycyjna koncepcja polegała na tym, że CISO [chronił firmę] przed włamaniem. Teraz CISO umożliwia rozwój biznesu”.

CISO muszą dziś pozytywnie kształtować sposób, w jaki oni i zespół ds. bezpieczeństwa są postrzegani przez innych w organizacji. Muszą współpracować z liderami funkcji biznesowych. Muszą również być w stanie ocenić i wyrazić ryzyko oraz wykorzystać je do docenienia wkładu bezpieczeństwa.

Dobrzy CISO skutecznie komunikują, że bezpieczeństwo jest dosłownie podstawą funkcjonowania firmy.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200